Жертва Dropbox уразливості нульового дня, яка ставить під загрозу встановлення на комп’ютерах Windows
Ми все більше турбуємося про безпеку наших даних, а також про безпеку програм і інструментів, які ми використовуємо на своїх комп’ютерах. Через комп’ютер, мобільний пристрій або хмарні платформи, ми уважно ставимося до будь-якої загрози, яка може виникнути у зв’язку з цим, двома нашими прикладами є Facebook або Twitter .
Тепер це Dropbox, популярна програма, яка дозволяє нам мати простір у хмарі, яка має вразливість нульового дня, яку ще не виправлено остаточно.Збій, який може поставити під загрозу комп’ютери Windows, які використовують Dropbox, і для якого наразі існує лише тимчасове рішення.
Немає останнього патча
Проблема, про яку йдеться, надає зловмиснику доступ до зарезервованих дозволів у папці System>, одному з найбільш чутливих розділів системи. Помилка, через яку програма оновлення Dropbox (DropboxUpdater), яка встановлюється як служба з двома запланованими завданнями, які виконуються з системними дозволами та з тестами, які проводять дослідники, дозволяє отримати оболонку командного рядка з правами SYSTEM. "
Про збій було повідомлено компанію, Dropbox, у вересні протягом періоду, зазначеного для цих випадків, але через 90 днів рішення все ще не знайденоабо не пропонували. Є лише одна заява від Dropbox, яка стосується проблеми та повідомляє, що вони працюють над рішенням, яке має надійти найближчими тижнями:
На даний момент немає офіційного рішення від компанії, і щоб вирішити проблему, навіть тимчасово, вам потрібно скористатися обхідним шляхом через 0Patch . Це платформа, яка пропонує мікропатчі для помилок, які ще не були офіційно виправлені. За словами Міті Колсека, генерального директора компанії Acros Security
Цей патч є тимчасовим, як вони самі попереджають. Виправляє лише вразливу частину і робить непотрібним перезавантаження комп’ютера, щоб він працював. Однак це лише тимчасове рішення, поки Dropbox не випустить оновлення, яке можна використовувати локально, але також може дозволити ланцюгову атаку.
Джерело | BleepingComputer.
